产品概述
背景
在现代工业企业的信息系统中,由各种DCS、PLC、测控设备、SCADA构成的过程控制系统位于底层车间,负责完成基本的生产控制。随着企业信息化建设的发展,迫切要求实现过程控制系统与上层管理信息系统之间互联互通,完成经营管理层与车间执行层的双向信息交互,使企业对生产情况保持实时反应,消除信息孤岛与断层现象。
为了获取现场的生产信息许多企业采用人工抄表、拷盘等人力传递的方式定期上报信息。人工采集不仅极不方便也无法实时的采集到现场数据,很难满足当今工业控制行业对生产控制和信息管理方面的要求,因此实现信息网络与控制网络的互联互通已经是大势所趋。
但信息网络与控制网络实现互联时,如何保障过程控制网络的安全就变成了一个严峻的问题。特别是对于石油、石化、电力、钢铁、煤矿等生产行业,对连续生产的安全性和可靠性有着极高的要求,一旦实现了信息网络与控制网络之间的互联,就相当于将控制网络直接暴露给互联网,而面临被攻击的可能。控制网络一旦受到恶意攻击或感染病毒,很可能导致网络中的主机崩溃,整个控制网络瘫痪,甚至造成重大安全事故。
另外,互联网攻击者可能会利用一些大型工业自动化软件的安全漏洞获取诸如发电厂、污水处理厂、天然气管道以及其他大型设备的控制权,一旦这些控制权被攻击者掌握,那后果不堪设想。因为生产控制网络中的计算机可以控制诸如发电机组、化学反应釜、供水管阀门、烘干设备甚至核电站的安全系统等大型工程化设备,攻击者一旦控制该系统就意味着可能利用控制中心系统切断整个城市的供电系统,污染饮用水甚至是破坏核电站的正常运行。随着近些年来越来越多的工程系统内部网络接入到互联网当中,这种可能就越来越大。
常规网络安全产品的不足
目前工业自动化市场上还鲜有专门针对工业网络安全的防护产品。因此工业网络用户要么将控制网络封闭起来,彻底与其它网络断开,同时也断绝了网络之间信息共享与交互;要么只能选用常规网安产品,如防火墙、网闸来解决问题。
但常规网安产品或者由于自身存在的缺陷与不足,不能满足工业网络较高的防护要求,或者因为不是专门针对工业网络设计,难以在工业场合应用。
防火墙的不足
防火墙是目前网络边界上最常用的一种防护设备。提供的主要功能包括访问控制、地址转换、应用代理、带宽和流量控制、事件审核和报警等。防火墙诞生于传统信息网络环境下,虽然经过了多年的发展和完善,但其应用环境还是局限于企业信息网络,它对于工业网络环境还有诸多的不适应。
防火墙主要是针对通用网络协议进行检查和过滤,完全没有覆盖工业网络协议和应用,更谈不上对于工业网络协议和应用数据的内容进行解析和检查。所以从这个角度来看防火墙对于工业网络安全防护没有丝毫的帮助。
为了提高安全防护能力,防火墙在发展过程中不断的添加新的功能,但是防火墙的安全性与其速度、功能成反比。防火墙的安全性要求越高,需要对数据包检查的项目(即防火墙的功能)就越多越细,对CPU和内存的消耗也就越大,从而导致防火墙的性能下降。这一点与工业网络对于实时性的要求是相背离的。
另外,防火墙自身也有一些先天性的不足,会导致它防护效果下降,甚至丧失。
防火墙本身是基于TCP/IP协议体系实现的,所以它无法解决TCP/IP协议体系自身存在的漏洞,这会导致攻击者利用TCP/IP协议自身的漏洞绕过防火墙。
防火墙是一个开关型的策略控制设备,它对于被保护对象只有允许访问和拒绝访问两种处理方式,一旦允许访问某个被保护对象,也就意味着该对象会直接暴露给攻击者,其自身的漏洞可以被攻击者所利用,防火墙将无法对其进行有效的保护。
网闸的不足
网闸是信息安全领域另外一个热门的防护产品,它通常使用双主机或三主机的硬件结构,实现不同网络安全区域之间的隔离,在隔离的同时还可以实现不同安全区域之间适度的数据摆渡。更先进一些的网闸还可以对摆渡的数据进行病毒查杀、数据内容过滤,还具备一定的访问控制、安全审计和身份认证功能。
网闸看上去是一个可以阻断不同网络安全区域之间攻击的有效手段,它也可以用于控制网络与信息网络之间的隔离和数据摆渡,但是网闸的问题在于其对工业网络环境的适应性不良。网闸主要是针对通用网络协议进行处理,不支持工业网络协议,更不能对工业网络中大量的测点数据进行细粒度的管理。虽然很多网闸厂商给用户提供开发接口,去支持用户专有的协议,但是这对于用户的技术要求太高,实际当中的可操作性很差。
综上所述,从防火墙、网闸之类的传统网络安全产品很难从根本上保证控制网络的安全。用户需要专门针对工业网络、支持广泛工业协议的网络安全设备来实现控制网络与信息网络之间的有效隔离和数据安全传输。
pSafetyLink系列工业安全隔离网关简介
pSafetyLink系列工业安全隔离网关是专门为工业网络应用设计的安全隔离设备,用于解决控制网络如何安全接入信息网络的问题以及控制网络内部不同安全区域之间安全防护的问题。力控华康对于传统网络安全设备硬件结构进行了改良性设计,同时自主开发了工业网络隔离系统软件。通过硬件和软件两方面的优化和创新,pSafetyLink系列工业安全隔离网关不但实现了对基于TCP/IP协议体系攻击的彻底阻断,而且也实现了对主流工业网络协议的广泛、深入支持和工业网络数据的安全传输。
产品架构
硬件架构
pSafetyLink系列工业安全隔离网关采用“2+1”的物理结构,内部由两个独立主机系统组成,每个主机系统分别具有独立的运算单元和存储单元,各自独立运行由力控华康自主开发的工业网络隔离系统。一端的主机系统为控制端,用于连接控制网络;另一端的主机系统为信息端,用于连接信息网络。两端主机的硬件均采用高性能嵌入式计算机芯片,主板上各有多个以太网接口用来连接要隔离的两个网络,两端主机各安装一块专用隔离卡实现双主机之间的物理连接。
硬件看门狗实时监视系统状态,保证整套装置的稳定、持续运行。
软件架构
pSafetyLink系列工业安全隔离网关的控制端与信息端主机分别运行力控华康自主开发的工业网络隔离系统,主机之间的通讯使用私有协议,协议采用专有加密算法实现数据高速加解密处理,保证数据传输的安全。该系统全面支持各种主流工业网络协议,包括OPC、Modbus、DNP 3、BACNet、IEC 60870-5-104等,而且系统可以深度解析各种工业网络协议,对协议数据进行细粒度的处理。控制端和信息端系统中的隔离通信组件和中间的隔离单元三者构成了工业网络隔离系统的核心。隔离通信组件负责根据用户配置提取所需要的工业网络数据,屏蔽其它协议数据和用户配置之外的工业网络数据,并对数据进行必要的解析和安全检查;隔离单元负责使用加密的私有协议进行控制端和信息端之间的数据摆渡。
产品特点
自主开发的PSL工业网络隔离技术
pSafetyLink系列工业安全隔离网关作为控制网络与信息网络之间的安全隔离设备,其核心是PSL工业网络隔离技术的应用。PSL工业网络隔离技术是硬件与软件相结合来完成的。PSL工业网络隔离技术在物理层采用了两个独立高性能嵌入式主机,双主机之间采用基于总线通信的隔离卡实现两个安全区之间的非网络方式的数据交换;数据链路层和应用层采用私有通信协议,数据流全部进行128位加密处理,在保证安全隔离的前提下,实现数据的高速交换。通过物理硬件和软件逻辑的共同作用,彻底截断了穿透性的TCP连接,同时实现对工业协议数据的定向采集和转发,达到数据完全自我定义、自我解析、自我审查,传输机制具有彻底不可攻击性,从根本上杜绝了非法数据的通过,确保控制网络不受攻击和入侵。
支持丰富的工业协议
工业网络中协议标准多,国际标准、国家标准、行业标准、企业标准并存,所以对协议的支持性是衡量一个网络设备能力的重要指标。pSafetyLink系列工业安全隔离网关支持各种主流的工业通信标准和工业控制设备,包括Modbus、OPC、DNP3、DLT 645、IEC 60870-5-104、西门子S7系列PLC、AB PLC、GE PLC等,同时还可以提供协议的定制开发。
测点级访问控制
pSafetyLink系列工业安全隔离网关可以对工业协议进行解析,提取其中的数据元素,可以作到针对测点一级的访问控制。例如:对于OPC标准可以控制到Item(项)一级,对于Modbus协议可以控制到寄存器。pSafetyLink系列工业安全隔离网关可以对测点进行可见范围和读写权限两方面的控制。
● 可见范围控制:pSafetyLink系列工业安全隔离网关可以指定在控制端允许或不允许接入哪些测点,从而实现pSafetyLink系列工业安全隔离网关对于现场设备数据读取范围的控制;同时当信息端存在多个上位系统时,pSafetyLink系列工业安全隔离网关又可以指定哪些测点允许暴露给哪个上位系统,哪些测点要进行屏蔽,从而实现了现场设备数据进入信息网络之后的定向传输管理。
● 读写权限:当测点可见时,pSafetyLink系列工业安全隔离网关又对每个测点赋予“只读”或“读/写”两种不同的权限。当设为“只读”权限时,所有数据回置操作被禁止从而实现单向数据传输,达到保护现场设备安全的目的。
分布部署、集中管理
pSafetyLink系列工业安全隔离网关提供了专用的配置管理工具。该配置管理工具部署在信息端,可以对网络中多台pSafetyLink系列工业安全隔离网关进行远程的管理,方便用户进行集中化管控。配置管理工具具有设备自发现的功能,可以自动查找网络中的pSafetyLink系列工业安全隔离网关,可以远程监控设备的网络状态、对设备进行工程配置和管理、查看各测点数据状态、读取和分析设备日志。
数据断线缓存
工业网络对于数据的连续性要求极高,针对工业网络中这种特有的要求pSafetyLink系列工业安全隔离网关开发了断线缓存功能。该功能可以在网络暂时性中断的情况下,将数据缓存在本地,并不断检测网络的连通性状态,一旦网络连通则会将缓存的数据补报到上位系统中,保证数据的连续性。
另外,pSafetyLink系列工业安全隔离网关还支持双机热备功能,在关键的网络通道上可以使用双机热备功能来保证数据链路的可靠性和持续性。
多重可靠性保障
为了保证产品可靠性、稳定性,pSafetyLink系列工业安全隔离网关从硬件和软件设计上进行了多方面的优化。
● 硬件平台专门面向工业应用场合设计,对PCB、电源、机箱结构、散热进行全面优化,从设计到生产流程都严格遵照工业品标准进行,以满足苛刻工业现场的要求。
● 系统诊断子系统实时检测系统内各进程、线程的运行状态,当发现异常时自动产生报警信息,并在符合条件的情况下启动自动恢复逻辑。
● I/O通信子系统具备完善的故障自动恢复功能。当发生网络通信中断的情况时,I/O通信子系统会立刻报告通信状态的变化,同时启动通信重连机制,当网络通信恢复后,能迅速重新建立网络连接,恢复数据通信。
● 双侧主机均有独立的软件看门狗和硬件看门狗,时刻监视系统状态,保证设备的稳定运行。
主要功能
pSafetyLink系列工业安全隔离网关实现了控制网络与信息网络之间有效隔离,同时根据用户配置进行必要的数据摆渡。其主要功能包括:
● 支持各种主流的工业网络通信标准,包括Modbus、OPC、DNP3、DLT 645、IEC 60870-5-104等,同时还提供自定义通信协议的扩展;
● 支持配置多个数据接收和转发通道,每个数据通道下配置多个设备;支持数据源和转发点之间一对一、一对多、多对一、多对多的转发。这样可以方便用户灵活配置,应对现场不同的应用环境;
● 支持测点的访问控制,从而提高数据采集和转发的安全性;
● 支持设备模板和点表导入功能。pSafetyLink系列工业安全隔离网关配置管理工具除了可以对测点进行单点配置功能外,还提供了非常适用的模板功能。模板功能可以大大提高用户工程组态的效率,减少组态的差错率。对于OPC服务器,配置管理工具可自动遍历服务器所有测点并生成模板,用户也可以手工编辑模板然后导入到工程中;
● 专用的配置管理工具,加上设备自发现功能,可以帮助用户远程管理网络中多台设备,方便快捷。而且配置以工程化文件的方式存储,各设备的配置独立管理,独立分发应用;
● 提供远程监控运行状态、测点数据、通信报文、日志信息等的功能;
● 集成Log Server,可以集中对日志进行存储、查询、导入和导出。
典型应用
pSafetyLink系列工业安全隔离网关适用于各种控制网络的安全防护。典型应用领域包括流程工业DCS控制系统的网络安全防护、电力系统现场IED设备的网络安全防护、轨道交通ISCS的网络安全防护、煤矿、冶金行业现场控制系统的网络安全防护等。
下面分别介绍两种常见的典型应用场景。
基于OPC的应用
OPC标准由于其开放性和高效性,现在已被广泛应用于自动化控制领域及生产信息管理中。目前大多数DCS系统、SCADA系统对外都提供OPC Server,以便为上层MES、生产调度等管理信息系统提供实时生产数据。同时几乎所有的MES系统、生产调度系统的数据采集接口也都提供了OPC Client以便能实现对OPC Server数据的采集。然而OPC Server与OPC Client之间的通信依赖控制网络与信息网络的直接连通。管理信息系统的网络出于业务需要一般会连接到互联网,这样会给控制网络的安全带来极大的隐患。
pSafetyLink系列工业安全隔离网关的双独立主机系统分为控制端和信息端,分别接入控制网络和信息网络,分别完成与OPC Server和OPC Client的通信,同时两主机之间采用PSL专用网络隔离技术,在保证OPC数据快速交互的同时彻底阻断其它网络连接,保证了控制网络的安全。
基于Modbus、DNP3的应用
Modbus是基于PLC的一组通信协议。它已经成为行业内设备互相通信的标准协议,也是目前最常用的工业系统设备之间的通信协议。
DNP3(分布式网络协议)是使用在工序自动化系统各部件之间的通信协议,它主要用于电力、水力等公共事业领域。此外,它的发展使得不同形式的数据获取与控制设备之间的交流更为便利。
调度自动化系统的后台为了实时获取现场设备的数据,经常需要通过网络使用Modbus、DNP3等通信协议进行数据传输。然而调度数据网络与现场控制设备的直接连通就相当于将控制系统直接暴露给外网而面临被攻击的可能。
pSafetyLink系列工业安全隔离网关内嵌力控华康自主开发的工业网络隔离系统,支持Modbus、DNP3等标准通信协议,可以实现调度自动化后台系统与现场设备的实时通信,并根据需要可设置数据方向、测点访问权限等。当设置为单向方式或测点只读时,后台系统的所有数据回置操作将被屏蔽,以保证现场控制设备的安全。
产品规格
解决方案
过程控制网络与生产管理网络之间的隔离
生产信息管理系统的服务器放在工厂的调度中心,完成数据采集、数据处理、数据发布等功能。在工厂管理层与过程控制层之间,通过工业以太网进行通讯,两个网络之间交换的数据主要是工业现场的实时生产数据。
由于过程控制网络与工厂管理网络之间通过工业以太网直接连通,也就间接的与更上层的企业管理网络连通,与互联网连通。这会直接导致攻击者通过以太网通用的攻击方式找到安全防护相对通过上面的描述我们可以看到,没有进行任何防护的工业网络实际上从上到下都是用以太网进行连通的,只要上层网络被突破,那下层网络的安全就没有了保障。所以我们需要保障正常业务运行的前提下,通过一定的方法和措施切断这种上下使用同一方式直接连通的网络。如下图,我们在过程控制层与工厂管理层之间部署工业网络隔离网关。
比较薄弱的企业管理网络中的可利用主机,并通过它作为跳板,逐步渗透进入到工厂管理网络,再进入到过程控制网络,进而对过程控制网络中的DCS、PLC等进行控制,修改其中的控制流程和工程数据,导致生产过程异常,甚至出现严重的事故和经济损失。
通过部署工业网络隔离网关实现和达到以下几个目标和效果:
● 通过工业隔离网关“2+1”的物理结构和中间私有协议加密通信机制实现过程控制网络和上层网络在物理和逻辑上的双重隔离,实现网络的纵向隔离和分区;
● 阻断所有TCP连接,将来自于上层网络的通用网络攻击、病毒传播行为阻隔在过程控制网络以外;
● 通过工业隔离网关上点表的配置,采集和汇聚生产现场的各种实时数据;
● 通过工业隔离网关上数据转发功能,将采集到的数据分类、定向转发给工厂管理网络中不同的应用服务器;
● 通过对测点级的访问控制功能,保护测点不被随意修改,防止上位机的误操作和人为蓄意破坏;
● 通过数据采集和转发功能最大限度的保证原有实时数据及时的上报到上层网络中,实现对生产过程“零”影响。
过程控制网络内部子系统之间的隔离
在实际的生产环境中,由于地理位置不同、厂区不同、工艺流程不同过程控制网络内部又可能分为多个子系统,各子系统有自己独立的的控制系统和控制流程,同时也会与平行的其它子系统有一定的数据交换。
由于过程控制网络内各子系统的网络基础设施水平不一,所以经常会出现一些子系统使用无线、GPRS\CDMA、卫星等安全保障机制较差的通用网络线路与整个网络系统相连的情况,这类子系统将会是整个网络中最为薄弱的地方,也会成为攻击者打开突破口的地方。一旦攻击者从安全防护薄弱的子系统渗透成功,那就意味着他可以继续进入过程控制网络中平行的各子系统以及上层网络,最终会波及到整个企业的管理、生产、控制网络,产生不可预计的损失。
基于上面的分析,我们需要在过程控制网络内部不同子系统之间部署工业隔离网关,如下图。
通过在过程控制网络内部部署工业隔离网关,达到以下的防护目的:
● 利用工业隔离网关阻断各子系统之间TCP连接,实现各子系统之间横向安全区的划分;
● 防止过程控制网络内部各子系统之间的横向影响和干扰,例如病毒传播、攻击渗透等;
● 实现对于重点设备和工艺流程的安全防护;
● 通过横向分区,有利于强化安全管理,分清管理责任。
